iT邦幫忙

2021 iThome 鐵人賽

DAY 17
0
DevOps

自架 Windows Server,打造你的專業 WordPress 部落格系列 第 25

WordPress WPS Hide Login 外掛教學,隱藏登入網址,防止暴力登入攻擊

這幾天為提升 WordPress 站台安全性,安裝了 WordPress 防火牆及防毒外掛 Wordfence,安裝之後才發現原來我的網站後台登入網址一直被暴力登入攻擊。

此為 Wordfence 即時安全監控畫面,記錄顯示我的後台登入網址 wp-login.php 及 xmlrpc.php 一直被駭客暴力登入。

關於如何解決 xmlrpc.php 的登入攻擊,可參考我另一篇文章: WordPress 如何關閉 XML-RPC 服務,避免資安攻擊風險

看到此問題,我立馬做了登入 Google Authenticator 2FA 雙因素驗證及 Google reCAPTCHA 識別機器人驗證來加強登入安全性,設定完之後,已經可以確保不會被登入成功,但是 Wordfence 即時安全監控畫面還是一直出現暴力登入記錄,因為駭客還是會到登入頁面繼續暴力登入,雖然不會成功,但一直會產生登入失敗記錄。
連續的暴力登入會造成伺服器資源浪費在這種地方,所以我覺得比較好的方法還是把登入網址隱藏起來。

WPS Hide Login 介紹

WPS Hide Login 是一款隱藏 WordPress 預設登入網址的外掛。
WordPress 後台預設登入網址為
http(s)://您的網址/wp-login.php
http(s)://您的網址/wp-admin.php

安裝之後會停用 wp-login 及 wp-admin 頁面,並自定新的入口網址,例如 my-login123 (請自行命名)為代理入口網址,駭客因不知道新登入網址,則無法執行暴力登入攻擊。
如要回復原有登入網址,只要停用此外掛之後則會恢復原本 wp-login.php 登入頁面。

WPS Hide Login 外掛安裝

外掛名稱: WPS Hide Login
官網連結: https://tw.wordpress.org/plugins/wps-hide-login/
在後台「安裝外掛」輸入「WPS Hide Login」,並執行安裝、啟用。

安裝之後,在「設定 > WPS Hide Login」開始設定界面。

外掛設定

此外掛設定很簡單,直接輸入新的登入網址,例如「my-login123」(請自行命名),為新的入口網址。

新網址命名請避免常見的名稱,例如: login, admin,因為容易被猜到而繼續攻擊。

另一組設定 Redirection url 為如果使用舊網址 wp-login.php 的話,會轉址到何處,預設是 404 的網址,你也可以自行設定要轉址的頁面。
註: 404 通常指找不到頁面的網址。

設定完之後就是「儲存設定」就完成了。
建議把新的登入網址記錄在「書籤」或「我的最愛」裡面,以免下次忘記了。

如果不小心忘記登入網址怎麼辦?

有 2 種方式可以解決:

  1. 連線到 MySQL 資料庫找到 wp_options table,查詢「option_name = ‘whl_page’」
    或是 SQL 語法
    「SELECT * FROM wp_options where option_name='whl_page';」

  1. 從 wordpress 原始碼目錄下 \wp-content\plugins 資料夾中刪除 wps-hide-login 目錄,就可以從 wp-login.php 重新登入。

相關學習文章

WordPress 如何關閉 XML-RPC 服務,避免資安攻擊風險
WordPress 強制使用 https 連線 (使用 SSL 憑證)
如何在 WordPress 設定 Google reCAPTCHA 保護(登入、留言、聯絡)表單,免遭惡意攻擊


上一篇
如何在 WordPress 放上 Google AdSense 廣告 - 為網站增加被動收入
下一篇
WordPress 如何關閉 XML-RPC 服務,避免資安攻擊風險
系列文
自架 Windows Server,打造你的專業 WordPress 部落格30

尚未有邦友留言

立即登入留言